Freigeben über

Zugriffsüberprüfungs-Agent

Verabschieden Sie sich von zeitaufwändiger Forschung und der Unsicherheit von rauschenden Entscheidungen. Der Access Review Agent arbeitet für Ihre Prüfer, indem automatisch Einblicke gesammelt und Empfehlungen generiert werden. Anschließend führt er Prüfer durch den Überprüfungsprozess in Microsoft Teams mit natürlicher Sprache, mit einfachen Zusammenfassungen und vorgeschlagenen Entscheidungen, damit sie den endgültigen Aufruf mit Vertrauen und Klarheit treffen können.

Voraussetzungen

Einschränkungen

  • Sobald Agenten gestartet sind, können sie nicht angehalten oder pausiert werden. Die Ausführung kann einige Minuten dauern.
  • Wir empfehlen, den Agent über das Microsoft Entra Admin Center auszuführen.

Unterstützte Szenarien

Die folgenden Tabellen zeigen die aktuelle Unterstützung des Zugriffsüberprüfungs-Agents basierend auf Überprüfungsszenarien:

Scenario Unterstützt
Ressourcen
Teams + Gruppen
Zugriffspaketzuweisung
Anwendungszuweisung
Azure-Ressourcenrollen
Microsoft Entra-Rollen
Von Privileged Identity Management verwaltete Gruppen
Größe
Bis zu 35 Entscheidungen (pro Überprüfung, nicht Prüfer)
>35 Entscheidungen pro Überprüfung
Phasen
Einzelne Stufe
Mehrstufige
Rezensenten
Spezifisch
Gruppenbesitzer
Managers
Selbstbewertungen
Sprachen
English
Andere Sprachen

Funktionsweise

Der Zugriffsüberprüfungs-Agent sucht proaktiv nach aktiven Zugriffsüberprüfungen in Ihrem Mandanten, die für die Verarbeitung durch den Agent gekennzeichnet sind. Der Agent analysiert dann identifizierte Rezensionen durch Sammeln zusätzlicher Erkenntnisse und generiert eine Empfehlung (genehmigen / verweigern) und eine Begründungszusammenfassung für jede Entscheidung. Sobald der Agent die Empfehlungen und die entsprechenden Begründungszusammenfassungen analysiert, kann er Prüfer in natürlicher Sprache durch den Überprüfungsprozess in Microsoft Teams führen. Prüfer können ihre Rezensionen über die Chaterfahrung in natürlicher Sprache in Microsoft Teams abschließen. Da der Agent sie durch die Überprüfung führt, können sie die Begründung des Agenten hinter den Empfehlungen überprüfen, Fragen im Kontext der Überprüfung stellen und schließlich ihre eigene fundierte Entscheidung treffen.

Die Empfehlung der Agenten (genehmigen /verweigern) für jede Entscheidung basiert auf einem deterministischen Bewertungsmechanismus, der von mehreren Signalen unterstützt wird. Die für die Empfehlung verwendeten Signale werden dann verwendet, um eine endbenutzerfreundliche Begründungszusammenfassung bereitzustellen, die durch ein großes Sprachmodell (LLM) unterstützt wird. Die nachfolgende Chaterfahrung in natürlicher Sprache in Microsoft Teams wird durch das große Sprachmodell mit zuvor generierten Empfehlungen und Begründungszusammenfassungen als verfügbaren Kontext erleichtert.

Der Agent betrachtet die folgenden Signale:

  • Benutzerinaktivität: Wenn sich der Benutzer angemeldet hat
  • Benutzer-zu-Gruppe-Zugehörigkeit: Wenn der Benutzer über eine geringe Zugehörigkeit zu anderen Benutzern verfügt, die über diesen Zugriff verfügen
  • Konto aktiviert: Wenn das Konto des Benutzers aktiviert ist (accountEnabled-Eigenschaft)
  • Beschäftigungsstatus: Wenn die Beschäftigung des Benutzers beendet wurde (EmployeeLeaveDateTime-Eigenschaft)
  • Lebenszyklusworkflowverlauf: Wenn der Benutzer in den letzten 30 Tagen einen Mover-Workflow für sie ausgeführt hat
  • Entscheidungen aus früheren Rezensionen: Bei wiederkehrenden Rezensionen werden Entscheidungen aus früheren Überprüfungsdurchläufen berücksichtigt.
  • Zugriffsanforderungsverlauf: Für Zugriffspaketzuweisungsüberprüfungen wird der Anforderungs- und Genehmigungsverlauf berücksichtigt.

Hinweis

Die Zusammenfassung der Begründung enthält Informationen aus diesen Signalen und steht dem Prüfer während des Überprüfungsprozesses zur Verfügung, obwohl einige dieser Informationen nicht für Prüfer außerhalb des Überprüfungsprozesses verfügbar sind.

Als Administrator können Sie die Empfehlungen (Genehmigen/Verweigern) und Begründungszusammenfassungen überprüfen. Ausführliche Informationen finden Sie unter Access Review Agent-Protokolle und Metriken (Vorschau). Beachten Sie, dass sich die Empfehlungen des Agents von den Empfehlungen im My Access-Portal und der Access-Überprüfung im Microsoft Entra Admin Center unterscheiden können.

Erste Schritte

Einrichten des Zugriffsüberprüfungs-Agents

  1. Melden Sie sich mit einem Konto mit mindestens allen folgenden Rollen beim Microsoft Entra Admin Center an:

  2. Wählen Sie auf der neuen Startseite auf der Agent-Benachrichtigungskarte Zu Agents gehen aus.

    • Sie können " Agents" auch im linken Navigationsmenü auswählen. Screenshot des Zugriffsüberprüfungs-Agents.

  3. Wählen Sie "Details anzeigen" auf der Kachel "Access Review Agent" aus.

  4. Wählen Sie "Agent starten" aus, um mit der ersten Ausführung zu beginnen.

    • Vermeiden Sie die Verwendung eines Kontos mit einer über PIM aktivierten Rolle.
    • In der oberen rechten Ecke wird eine Meldung angezeigt, die besagt, dass der Agent seine erste Ausführung startet.
    • Die erste Ausführung kann einige Minuten dauern.

Aktivieren des Zugriffsüberprüfungs-Agents für vorhandene Zugriffsüberprüfungen

Nachdem der Zugriffsüberprüfungs-Agent gestartet wurde, müssen Sie Zugriffsüberprüfungen kennzeichnen, die vom Access Review Agent verarbeitet werden sollen. Der Zugriffsüberprüfungs-Agent kann sowohl neue als auch vorhandene Zugriffsüberprüfungen verarbeiten. In den folgenden Abschnitten werden Sie durch die Kennzeichnung der Zugriffsüberprüfung geführt, die vom Access Review Agent verarbeitet werden soll.

Aktivieren des Zugriffsüberprüfungs-Agents für vorhandene Gruppen- und Anwendungszugriffsüberprüfungen

Führen Sie die folgenden Schritte aus, um eine vorhandene Zugriffsüberprüfung zu aktualisieren, die vom Access Review Agent verarbeitet werden soll:

  1. Melden Sie sich beim Microsoft Entra Admin Center als mindestens ein Identitätsverwaltungsadministrator an.

  2. Navigieren Sie zu ID-Governance>Zugriffsüberprüfungen.

  3. Wählen Sie die Zugriffsüberprüfung aus, die der Agent unterstützen soll.

  4. Wählen Sie auf der Übersichtsseite "Zugriffsüberprüfung" unter "Verwalten" die Option "Einstellungen " aus, wenn es sich um eine einmalige Überprüfung handelt, oder "Einstellungen " unter "Serie", wenn es sich um eine wiederkehrende Überprüfung handelt.

  5. Aktivieren Sie unter "Erweiterte Einstellungen" das Kontrollkästchen für die Einstellung mit dem Zugriffsüberprüfungs-Agent (Vorschau).

  6. Wählen Sie Speichern aus.

Aktivieren des Zugriffsüberprüfungs-Agents für vorhandene Zugriffspaketzuweisungsüberprüfungen

Führen Sie die folgenden Schritte aus, um eine vorhandene Zugriffsüberprüfung zu aktualisieren, die vom Access Review Agent verarbeitet werden soll:

  1. Melden Sie sich beim Microsoft Entra Admin Center als mindestens ein Identitätsverwaltungsadministrator an.

  2. Navigieren Sie zu ID Governance>Berechtigungsverwaltung>Zugriffspaket.

  3. Wählen Sie das Zugriffspaket aus, das der Agent unterstützen soll.

  4. Wählen Sie auf der Übersichtsseite des Zugriffspakets "Richtlinien" und dann die Richtlinie aus, die Sie aktualisieren möchten, und wählen Sie "Bearbeiten" aus.

  5. Wählen Sie auf der Seite "Richtlinie bearbeiten" die Option "Lebenszyklus" aus.

  6. Wählen Sie auf der Registerkarte "Lebenszyklus" die Einstellungen für die erweiterte Zugriffsüberprüfung aus, und aktivieren Sie das Kontrollkästchen "Aktivieren " in der Einstellung mit dem Status "Access Review Agent (Vorschau)".

  7. Wählen Sie Speichern aus.

Sicherstellen, dass Prüfer den Zugriffsüberprüfungs-Agent verwenden können

Prüfer greifen über eine Microsoft Teams-App auf den Zugriffsüberprüfungs-Agent zu. Wenn die organisationsweiten App-Einstellungen Ihrer Organisation Microsoft Teams Microsoft-Anwendungen erlauben, ist keine Aktion erforderlich. Wenn Ihre Organisation Microsoft-Apps in den organisationsweiten Microsoft Teams-App-Einstellungen deaktiviert hat, muss der Microsoft Teams-Administrator Ihrer Organisation die App explizit genehmigen.

Sie müssen auch sicherstellen, dass alle Prüfer mindestens über die Rolle " Security Copilot Contributor " verfügen, damit sie den Agent verwenden können, um ihre Rezensionen abzuschließen. Dies ist erforderlich, da die Unterhaltung in natürlicher Sprache in Microsoft Teams hinter den Kulissen eine Microsoft Security Copilot-Sitzung öffnet. Teilnehmende Prüfer greifen über Microsoft Teams auf die agentische Erfahrung zu, aber mit der Rollenzuweisung sind sie berechtigt, auf das Security Copilot-Portal oder die Security Copilot-Erfahrung in anderen Microsoft Security-Verwaltungsportalen zuzugreifen. Wenn Prüfer außerhalb von Microsoft Teams auf Security Copilot zugreifen, unterliegen deren Datenzugriff mit Security Copilot weiterhin den Standardbenutzerberechtigungen.

Verwenden des Zugriffsüberprüfungs-Agents als Prüfer

Nachdem der Zugriffsüberprüfungs-Agent gestartet wurde, den Prüfern die richtigen Berechtigungen zugewiesen haben und die App für sie verfügbar ist, können Ihre Prüfer jetzt ihre Rezensionen mit Hilfe des Agents abschließen. Auf den Zugriffsüberprüfungs-Agent kann direkt in Microsoft Teams zugegriffen werden (direkter Link). Die an Prüfer gesendeten E-Mail-Benachrichtigungen zur Zugriffsüberprüfung enthalten auch einen direkten Link zu Microsoft Teams.

  1. Öffnen Sie Ihre Microsoft Teams-Anwendung, die als Bearbeiter zugewiesen wurde.

  2. Wählen Sie den Link "Access Review Agent " aus, um den Agent zu öffnen.

  3. Suchen Sie auf der Seite "Apps" den Access Review Agent, und wählen Sie "Hinzufügen" aus. Screenshot der Access Review Agent-Anwendung in Microsoft Teams.

  4. Nachdem der Agent hinzugefügt wurde, wählen Sie "Öffnen" aus.

  5. Wenn sie geöffnet ist, können Sie die verfügbare Eingabeaufforderung auswählen, um den Chat mit dem Agent-Screenshot der ersten Eingabeaufforderung im Zugriffsüberprüfungs-Agent-Chat zu starten.

Einstellungen

Sobald der Agent aktiviert ist, können Sie einige Einstellungen anpassen. Sie können auf die Einstellungen zugreifen, indem Sie folgendes im Microsoft Entra Admin Center ausführen:

  • Über agents>Access Review Agent>Settings.

Auslöser

Der Agent ist so konfiguriert, dass er alle 24 Stunden ausgeführt wird, je nachdem, wann er anfänglich konfiguriert ist. Sie können sie zu einem bestimmten Zeitpunkt ausführen, indem Sie die Trigger-Einstellung deaktivieren und dann wieder aktivieren, wenn sie ausgeführt werden soll.

Screenshot des Zugriffsüberprüfungs-Agent-Triggers.

Hinweis

Wenn Prüfer sofort auf ihre E-Mail-Benachrichtigungen zur Zugriffsüberprüfung reagieren, hat der Agent die Überprüfung möglicherweise noch nicht verarbeitet. Erst nachdem der Agent ausgeführt wurde, kann er zugriffsüberprüfungen in Microsoft Teams unterstützen. Wenn Sie antworten, bevor der Agent die Überprüfung verarbeitet, antwortet der Agent mit der folgenden Meldung auf den Prüfer in Microsoft Teams: "Ich sehe derzeit keine ausstehenden Rezensionen, mit denen ich Ihnen helfen kann. Da meine Funktionen immer noch erweitert werden, empfiehlt es sich, das Portal "Mein Zugriff" zu überprüfen, um festzustellen, ob andere ausstehende Rezensionen vorhanden sind."

Entfernen des Agents

Wenn Sie den Zugriffsüberprüfungs-Agent nicht mehr verwenden möchten, wählen Sie "Agent vom oberen Rand des Agentfensters entfernen " aus. Die vorhandenen Agentaktivitäten und -metriken werden entfernt, aber Empfehlungen und Begründungen für bereits verarbeitete Rezensionen werden vom Agent in Microsoft Teams aufbewahrt und können die Prüfer weiterhin bei diesen Rezensionen unterstützen. Um die Entfernung abzuschließen, sollten Sie auch die Zugriffsüberprüfungen aufheben, die zuvor gekennzeichnet wurden, um vom Agent verarbeitet zu werden.

Deaktivieren des Zugriffsüberprüfungs-Agents für vorhandene Gruppen- und Anwendungszugriffsüberprüfungen

  1. Melden Sie sich beim Microsoft Entra Admin Center als mindestens ein Identitätsverwaltungsadministrator an.

  2. Navigieren Sie zu ID Governance>Zugriffsüberprüfungen.

  3. Wählen Sie die Zugriffsüberprüfung aus, für die die Agentunterstützung aktiviert ist.

  4. Wählen Sie auf der Übersichtsseite "Zugriffsüberprüfung" unter "Verwalten" die Option "Einstellungen " aus, wenn es sich um eine einmalige Überprüfung handelt, oder "Einstellungen " unter "Serie", wenn es sich um eine wiederkehrende Überprüfung handelt.

  5. Deaktivieren Sie unter "Erweiterte Einstellungen" das Kontrollkästchen in der Einstellung, die den Zugriffsüberprüfungs-Agent (Vorschau) angibt.

  6. Wählen Sie Speichern aus.

Deaktivieren des Zugriffsüberprüfungs-Agents für vorhandene Zugriffspaketzuweisungsüberprüfungen

  1. Melden Sie sich beim Microsoft Entra Admin Center als mindestens ein Identitätsverwaltungsadministrator an.

  2. Navigieren Sie zu ID Governance>Berechtigungsverwaltung>Zugriffspaket.

  3. Wählen Sie das Zugriffspaket aus, das der Agent unterstützen soll.

  4. Wählen Sie auf der Übersichtsseite des Zugriffspakets "Richtlinien" und dann die Richtlinie aus, die Sie aktualisieren möchten, und wählen Sie "Bearbeiten" aus.

  5. Wählen Sie auf der Seite "Richtlinie bearbeiten" die Option "Lebenszyklus" aus.

  6. Aktivieren Sie auf der Registerkarte "Lebenszyklus" das Kontrollkästchen "Deaktivieren " in der Einstellung mit dem Status "Access Review Agent (Vorschau)".

  7. Wählen Sie Speichern aus.

Widerrufen des Security Copilot-Zugriffs

Möglicherweise möchten Sie den Security Copilot-Mitwirkendenzugriff von Prüfern widerrufen, wenn kein anderes Szenario erfordert, dass sie auf Security Copilot zugreifen können.

Identität und Berechtigungen

Wenn der Agent aktiviert ist, wird eine eindeutige Agentidentität erstellt. Weitere Informationen finden Sie unter: Verwalten von Agentidentitäten.

Der Agent verwendet diese Identität, um Ihren Mandanten auf aktive Zugriffsüberprüfungen zu überprüfen, zusätzliche Einblicke zu sammeln und seine Empfehlungen und Begründungen für den Prüfer zu speichern. Weitere Informationen finden Sie unter: Funktionsweise

Erlaubnisse

  • Abrufen von Details zu Zugriffsüberprüfungen
  • Details und Lebenszyklus-Workflow-Verlauf für Benutzer, Gruppen, Apps und Zugriffspakete anzeigen
  • Speichern von Empfehlungen und Begründungen für die Zugriffsüberprüfung

Endgültige Entscheidungen, die über die Unterhaltung in Microsoft Teams eingereicht werden, verwenden die Identität des Prüfers.

Auf der Seite "Agent-Einstellungen" wird die dem Agent aktuell zugewiesene Identität angezeigt: Screenshot der Seite

Wenn Ihr Agent zuvor mithilfe der Identität eines Administrators konfiguriert wurde, müssen Sie ihn zu einer dedizierten Agent-Identität migrieren. Schließen Sie diese Migration ab, indem Sie die Option "Agentidentität erstellen" auswählen, die sich auf dem blauen Banner der Agent-Übersichtsseite oder auf der Seite mit den Agenteinstellungen befindet. Screenshot des Erstellens der Agentidentität im Portal für Zugriffsüberprüfungs-Agent. Screenshot des Bildschirms

Bereitstellen von Feedback

Verwenden Sie die Schaltfläche " Feedback an Microsoft senden" am oberen Rand des Agent-Fensters, um Microsoft Feedback zu dem Agent zu geben.

Häufig gestellte Fragen

Warum reagiert der Agent in Microsoft Teams mit "Es sieht so aus, als ob der Zugriffsüberprüfungs-Agent für Ihre Organisation noch nicht aktiviert wurde oder unerwartete Probleme aufgetreten ist. Bitte wenden Sie sich an Ihre IT-Abteilung, um Unterstützung zu erhalten. In der Zwischenzeit können Sie Ihre ausstehenden Rezensionen im Portal "Mein Zugriff" abschließen?

Wenn der Agent mit dieser Nachricht antwortet, ist es wahrscheinlich das Agent-Setup, z. B. das Starten des Agents, das Zuweisen des Security Copilot-Zugriffs und das Aktivieren des Agents für vorhandene Rezensionen ist nicht abgeschlossen.

Warum reagiert der Agent in Microsoft Teams mit "Dinge sind im Moment ein bisschen beschäftigt, und ich konnte Ihre Anfrage zurzeit nicht verarbeiten. Könnten Sie es bitte noch einmal versuchen? Wenn Sie eilig sind, ist das My Access Portal immer verfügbar.'?

Der Agent antwortet mit dieser Nachricht, wenn Ihr Mandant nicht mehr über die Kapazität von Security Copilot verfügt.

Verwandte Inhalte

  • Last updated on